<html>
<head>
<title>登录验证</title>
<meta http-equiv="content-type" content="text/html;charset=utf-8"/>
</head>
<?php
	
	//这里我们就可以编写php代码
	//接收用户提交的用户名和密码
	$username=$_REQUEST['username'];
	$password=$_REQUEST['password'];

	//现在我们看看到数据库验证，要怎样写出安全的代码，防止其它用户攻击

	//1.连接数据库
	$conn=mysql_connect("localhost","root","dx123");
	if(!$conn){
		//
		die("连接数据库失败".mysql_error());
	}

	//2. 选择数据库
	mysql_select_db("mysqli",$conn) or die("选择数据库有误".mysql_error());

	//3. 构建sql语句，并查询
	$sql="select * from userstb where name='$username' and password='$password'";
	//$sql="select * from users where username=$username and password=$password";
	$res=mysql_query($sql,$conn) or die("查询有误".mysql_error());

	
	//4. 查看结果
	if(mysql_num_rows($res)!=0){
		//查询有这个人.
		header("Location: ManageUsers.php");
	}else{
		echo "您的输入有误,<a href='Login.php'>返回重新登录</a>";
	}


	//密码比对防止注入
/*	$sql = "select password from users where username='$username'";

	$res=mysql_query($sql,$conn);

	//取出密码
	if($row=mysql_fetch_array($res)){
		//说明该用户名存在
		if($row[0]==$password){
			//说明该用户合法
			header("Location: ManageUsers.php");
		}else{
			echo "你输入的密码不正确<a href='Login.php'>返回重新登录</a>";
		}
	}else{
		echo "你输入的用户名不存在<a href='Login.php'>返回重新登录</a>";
	}*/

	//使用pdo的方式来防止sql注入

	/*$sql="select * from users where username=? and password=?";
	//1.创建一个pdo对象
	$myPdo=new PDO("mysql:host=localhost;port=3306;dbname=spdb","root","root");
	//2.设置编码
	$myPdo->exec("set names utf8");
	//3.预处理$sql
	$pdoStatment=$myPdo->prepare($sql);
	//4.把接收到的用户名和密码填入
	$pdoStatment->execute(array($username,$password));
	//5.取出结果 
	$res=$pdoStatment->fetch();

	if(empty($res)){
		echo "你的用户名和密码错误<a href='Login.php'>返回</a>";
	}else{
		header("Location: ManageUsers.php");
	}

	//echo $username."--".$password;
	//现在我们先打通 ，能够跳转.[先不到数据库验证]
/*	if($username=="shunping" && $password="123"){
		//跳转到管理页面
		header("Location: ManageUsers.php");//http协议
	}else{
		//提示
		echo "您的用户名有误<a href='Login.php'>返回重新登录</a>"; 
	}*/
?>
</html>